[mod_perl] Sicheres Konzept von Verzeichnissen (mod_perl und Apache)

[thread]11882[/thread]

[mod_perl] Sicheres Konzept von Verzeichnissen

Leser: 2

GwenDragon

2008-05-22 17:59

User since
2005-01-17
14533 Artikel
Admin1

Ich will hier mal was zur Diskussion stellen.

Es gibt bei mod_php die Möglivchkeit, User nur auf ihre in der (Server-,VHost-, php-ini)-Konfiguration angegebenen Verzeichnisse zu beschränken. Das geschieht bspw. mit open_basedir

Bei mod_perl existiert wohl kein solches Konzept und deswegen können per mod_perl aufgerufenen Skripte überall Verzeichnisse lesen.

Jedenfalls finde ich nichts in der mod_perl-doku oder habe ich Kamele auf den Augen?

Welche Erfahrungen und Wurgarounds habt ihr da.

die Drachin, Gwendolyn

Unterschiedliche Perl-Versionen auf Windows (fast wie perlbrew) • Meine Perl-Artikel

GwenDragon

2008-05-24 11:42

User since
2005-01-17
14533 Artikel
Admin1

Ja, schön wäre es.
Kein Wunder, das ich das MPM im Manual überlas.
Das Modul ist exprimentell, unfertig, und deswegen nicht auf einem Produktivsystem sinnvoll.

Quote
This module is not functional. Development of this module is not complete and is not currently active. Do not use perchild unless you are a programmer willing to help fix it.

http://httpd.apache.org/docs/2.0/mod/perchild.html

Laut Felix Schwarz und sonstigen Googeln (lang zu suchen) gibt es noch:
Metux MPM (kein aktueller Link; Wiki ist nur noch SPAM dort)
Peruser MPM
MPM ITK

http://mitka.us/articles/mpm-itk/

Allerdings ist es so, dass peruser-mpm auch (immer noch) experimentell udn nicht für Produktivsysteme ist.
Sowie bei mpm-itk der ganze Apache neu kompiliert werden muss.
Schlecht für einen Produktivserver.

mod_perl ist sehr schön, aber warum hinkt es da so nach, was Multiuserumgebungen auf Servern anbelangt?

die Drachin, Gwendolyn

Unterschiedliche Perl-Versionen auf Windows (fast wie perlbrew) • Meine Perl-Artikel

RPerl

2008-05-23 17:25

User since
2006-11-26
384 Artikel
BenutzerIn

user image

Die Rechte des Benutzers auf der Systemebene eingrenzen waere z.B. eine.

GwenDragon

2008-05-23 20:02

User since
2005-01-17
14533 Artikel
Admin1

RPerl+2008-05-23 15:25:41--
Die Rechte des Benutzers auf der Systemebene eingrenzen waere

Wie meinst du das genau?

die Drachin, Gwendolyn

Unterschiedliche Perl-Versionen auf Windows (fast wie perlbrew) • Meine Perl-Artikel

topeg

2008-05-23 21:26

User since
2006-07-10
2611 Artikel
BenutzerIn

user image

Wenn die Userrechte des Apache nicht ausreichen um außerhalb seiner Verzeichnisse zu zu greifen kann das Script das auch nicht.

Direkt zu mod_perl wüßte ich nichts.
Ansonsten gäbe es noch mod_suexec, was aber nicht mit mod_perl zusammen arbeitet
und natürlich mod_fastcgi, das ist aber auch ein anderer Ansatz.

Dann gäbe es wohl noch das:
http://httpd.apache.org/docs/2.0/mod/perchild.html
Das sollte auch mit mod_perl zusammenarbeiten, aber reif für die Nutzung scheint es nicht zu sein.

betterworld

2008-05-24 14:37

User since
2003-08-21
2613 Artikel
ModeratorIn

user image

Genau wie bei mod_php ist es ja bei mod_perl so, dass der ganze Code mit denselben Benutzerrechten, ja sogar im selben Prozess (bzw. denselben Prozessen) läuft. Da eine Rechteverwaltung einzubauen finde ich eigentlich nicht so ein schönes Konzept, weil man da praktisch die ganze Rechteverwaltung des Betriebssystems umgeht und noch einmal nachbaut.

Aber vielleicht kann man ja mit CPAN: